Yönetilen kimlik kullanarak denetim

Şunlar için geçerlidir: Azure Synapse Analytics Azure SQL Veritabanı

Azure SQL Veritabanı denetimi, iki kimlik doğrulama yöntemiyle depolama hesabı kullanacak şekilde yapılandırılabilir:

• Yönetilen Kimlik
• Depolama Erişim Anahtarları

Yönetilen Kimlik , sistem tarafından atanan yönetilen kimlik (SMI) veya kullanıcı tarafından atanan yönetilen kimlik (UMI) olabilir.

Depolama hesabına denetim günlükleri yazmayı yapılandırmak için Azure portalına gidin ve Azure SQL Veritabanı için mantıksal sunucu kaynağınızı seçin. Denetim menüsünde Depolama'yı seçin. Günlüklerin kaydedileceği Azure depolama hesabını seçin.

Varsayılan olarak, kullanılan kimlik sunucuya atanan birincil kullanıcı kimliğidir. Kullanıcı kimliği yoksa, sunucu sistem tarafından atanan bir yönetilen kimlik oluşturur ve bunu kimlik doğrulaması için kullanır.

Gelişmiş özellikler'i açarak bekletme süresini seçin. Ardından Kaydet'i seçin. Saklama süresinden eski günlükler silinir.

Not

Azure Synapse Analytics'te yönetilen kimlik tabanlı denetimi ayarlamak için bu makalenin devamında Yer alan Azure Synapse Analytics denetimi için sistem tarafından atanan yönetilen kimliği yapılandırma bölümüne bakın.

Kullanıcı tarafından atanan yönetilen kimlik

UMI, kullanıcılara belirli bir kiracı için kendi UMI'lerini oluşturma ve koruma esnekliği sağlar. UMI, Azure SQL için sunucu kimlikleri olarak kullanılabilir. UMI, sunucu başına benzersiz olarak tanımlanan ve sistem tarafından atanan sistem tarafından atanan yönetilen kimlikle karşılaştırıldığında kullanıcı tarafından yönetilir.

UMI hakkında daha fazla bilgi için bkz. Azure SQL için Microsoft Entra'da yönetilen kimlikler.

Azure SQL Veritabanı denetimi için kullanıcı tarafından atanan yönetilen kimliği yapılandırma

Denetimin günlükleri depolama hesabınıza gönderecek şekilde ayarlanabilmesi için önce sunucuya atanan yönetilen kimliğin Depolama Blobu Veri Katkıda Bulunanı rol atamasına sahip olması gerekir. Denetimi PowerShell, Azure CLI, REST API veya ARM şablonlarını kullanarak yapılandırıyorsanız bu atama gereklidir. Denetim'i yapılandırmak için Azure portalı kullanılırken rol ataması otomatik olarak yapılır, bu nedenle Denetimi Azure portalı üzerinden yapılandırıyorsanız aşağıdaki adımlar gereksizdir.

1. Azure portala gidin.

2. Henüz yapmadıysanız kullanıcı tarafından atanan bir yönetilen kimlik oluşturun. Daha fazla bilgi için bkz . Kullanıcı tarafından atanan yönetilen kimlik oluşturma.

3. Denetim için yapılandırmak istediğiniz depolama hesabınıza gidin.

4. Erişim Denetimi (IAM) menüsünü seçin.

5. Ekle>Rol ataması ekle’yi seçin.

6. Rol sekmesinde Depolama Blob Verileri Katkıda Bulunanı'nı arayın ve seçin. İleri'yi seçin.

7. Üyeler sekmesinde, Erişim ata bölümünde Yönetilen kimlik'i ve ardından Üyeleri seçin'i seçin. Sunucunuz için oluşturulan Yönetilen kimliği seçebilirsiniz.

8. Gözden geçir + ata'yı seçin.

   

Daha fazla bilgi için bkz . Portalı kullanarak Azure rolleri atama.

Kullanıcı tarafından atanan yönetilen kimliği kullanarak denetimi yapılandırmak için aşağıdakileri kullanın:

Portal

1. Sunucunuzun Kimlik menüsüne gidin. Kullanıcı tarafından atanan yönetilen kimlik bölümünün altında Yönetilen kimliği ekleyin.

2. Ardından, eklenen yönetilen kimliği sunucunuz için Birincil kimlik olarak seçebilirsiniz.

   

3. Sunucunun Denetim menüsüne gidin. Sunucunuz için Depolama'yı yapılandırırken Depolama Kimlik Doğrulama Türü olarak Yönetilen Kimlik'i seçin.

The Azure CLI

Yönetilen kimlik kullanmak için, denetimi yapılandırırken sunucuya atanan birincil yönetilen kimliği kullanmak için parametresini boş bir dize olarak geçirin --storage-key . Aşağıda örnek bir komut verilmiştir:

az SQL server audit-policy update -g "sampleresourcegroup" -n "sampleauditingtestserver" --state Enabled --bsts Enabled --storage-endpoint https://<storageaccountname>.blob.core.windows.net --storage-key '""'

Daha fazla bilgi için bkz . az sql server audit-policy.

PowerShell

Yönetilen kimlik kullanmak için, sunucuya atanan birincil yönetilen kimliği kullanmak için UseIdentity parametresini geçirin True . Aşağıda örnek bir komut verilmiştir:

Set-AzSqlServerAudit -ResourceGroupName "sampleresourcegroup" -ServerName "sampleauditingtestserver" -BlobStorageTargetState Enabled -StorageAccountResourceId "/subscriptions/<SubscriptionID>/resourcegroups/sampleresourcegroup/providers/Microsoft.Storage/storageAccounts/auditingteststorageacc" -UseIdentity True

Daha fazla bilgi için bkz . Set-AzSqlServerAudit.

REST API

Birincil yönetilen kimliği kullanmak için istekte storageAccountAccessKey parametresini geçirmeyi atlayın:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2017-03-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Daha fazla bilgi için bkz . Sunucu Denetim Ayarları - Oluşturma veya Güncelleştirme.

Not

Denetim yönetilen kimlik kullanılarak yapılandırıldığında veritabanını yeni bir sunucuya kopyalamak veya coğrafi çoğaltma oluşturmak denetim günlüğünü bozabilir. Bunun nedeni, yeni sunucunun denetim depolama hesabına erişimi olmayan farklı bir yönetilen kimliğe sahip olmasıdır. Yeni sunucunun kimliğine denetim sürekliliğini korumak için uygun izinler verildiğinden emin olun.

Azure Synapse Analytics denetimi için sistem tarafından atanan yönetilen kimliği yapılandırma

Denetim için depolama hesabında UMI tabanlı kimlik doğrulamasını kullanamazsınız. Azure Synapse Analytics için yalnızca sistem tarafından atanan yönetilen kimlik (SMI) kullanılabilir. SMI kimlik doğrulamasının çalışması için, yönetilen kimliğin depolama hesabının Erişim Denetimi ayarlarında Depolama Blobu Veri Katkıda Bulunanı rolü atanmış olmalıdır. Denetimi yapılandırmak için Azure portalı kullanılıyorsa bu rol otomatik olarak eklenir.

Azure Synapse Analytics için Azure portalında, Azure SQL Veritabanı olduğu gibi SAS anahtarını veya SMI kimlik doğrulamasını açıkça seçme seçeneği yoktur.

• Depolama hesabı bir sanal ağın veya güvenlik duvarının arkasındaysa, denetim SMI kimlik doğrulaması kullanılarak otomatik olarak yapılandırılır.

• Depolama hesabı bir sanal ağın veya güvenlik duvarının arkasında değilse, denetim SAS anahtarı tabanlı kimlik doğrulaması kullanılarak otomatik olarak yapılandırılır. Ancak, depolama hesabı bir sanal ağın veya güvenlik duvarının arkasında değilse yönetilen kimlik kullanılamaz.

Depolama hesabının bir sanal ağın veya güvenlik duvarının arkasında olmasına bakılmaksızın SMI kimlik doğrulamasının kullanılmasını zorlamak için REST API veya PowerShell'i aşağıdaki gibi kullanın:

• REST API kullanıyorsanız, istek gövdesinde StorageAccountAccessKey alanı açıkça atlar.

  Daha fazla bilgi için başvuru:

  • Sunucu Blobu Denetim İlkeleri - Oluşturma veya Güncelleştirme - REST API (Azure SQL Veritabanı)
  • Veritabanı Blobu Denetim İlkeleri - Oluşturma veya Güncelleştirme - REST API (Azure SQL Veritabanı

• PowerShell kullanıyorsanız parametresini UseIdentity olarak truegeçirin.

  Daha fazla bilgi için başvuru:

  • Set-AzSqlServerAudit (Az.Sql)
  • Set-AzSqlDatabaseAudit (Az.Sql)

İlgili içerik

• Azure SQL Veritabanı ve Azure Synapse Analytics için denetim
• Azure SQL Denetimindeki Yenilikler
• Azure SQL Yönetilen Örneği denetleme ile başlangıç yapın
• SQL Server için denetim